Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei
prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
-
https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.
Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT
per il cyber security act e per il NIS. E mi risulta anche oscura
l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
venerdì 25 novembre 2022
Digital resignation
Segnalo questo interessante articolo dal titolo "Digital resignation: Non
dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a
prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
venerdì 18 novembre 2022
Convegno Accredia sulle certificazioni di cybersecurity
Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:
- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.
Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le
riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango
perplesso sulla spinta a sviluppare schemi nazionali di certificazione).
Guide per lo sviluppo sicuro di NSA
Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo
sviluppo sicuro.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
mercoledì 16 novembre 2022
"Data Breach Investigations Report" di Verizon
Segnalo la pubblicazione del DBIR "Data Breach Investigations Report" di
Verizon:
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
mercoledì 9 novembre 2022
Digital service act (DSA) -- un articolo
Del DSA già ne parlai in altro post
(http://blog.cesaregallotti.it/2022/10/digital-service-act-dsa.html). Segnalo questo articolo che ne approfondisce alcuni aspetti:
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
lunedì 7 novembre 2022
ISO survey 2021
E' disponibile la ISO Survey 2021:
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
Nuova ISO/IEC 27001: l'articolo definitivo
Con molta umiltà, segnalo l'articolo scritto da me e Fabio Guasconi dal
titolo "Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa
cambia":
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
giovedì 3 novembre 2022
Pubblicato il rapporto semestrale di NCSC
Segnalo la pubblicazione del rapporto semestrale 2022/1 del Centro nazionale
per la cibersicurezza (NCSC) della Confederazione Svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
Guida CISA FBI MS-ISAC per rispondere agli attacchi DDoS
Dal SANS Newsbites apprendo che CISA FBI MS-ISAC hanno pubblicato la guida
"Understanding and Responding to Distributed Denial-of-Service Attacks":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.
Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".
Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.
Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".
Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.
martedì 1 novembre 2022
Presentazione sulla nuova ISO/IEC 27005:2022
Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova
ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.
Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".
Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.
Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.
Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".
Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.
Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.
Iscriviti a:
Post (Atom)